L'exploitation de 285 millions de dollars de ce mois-ci sur Drift, un échange décentralisé (DEX), a été le plus grand piratage cryptographique depuis plus d'un an, lorsque l'échange Bybit a perdu 1,4 milliard de dollars. Les pirates informatiques soutenus par l'État nord-coréen ont été désignés comme principaux suspects dans les deux attaques.
L'automne dernier, les attaquants se sont fait passer pour une société de trading quantitatif et ont approché l'équipe du protocole de Drift en personne lors d'une grande conférence cryptographique, a déclaré Drift dans une publication X dimanche.
"Il est maintenant établi qu'il s'agit apparemment d'une approche ciblée, dans laquelle des individus de ce groupe ont continué à rechercher et à engager délibérément des contributeurs spécifiques de Drift, en personne, lors de plusieurs grandes conférences de l'industrie dans plusieurs pays au cours des six mois suivants", a déclaré le DEX.
Jusqu'à présent, les espions cybernétiques nord-coréens ont ciblé les entreprises cryptographiques en ligne, par le biais d'appels virtuels et de travail à distance. Une approche en personne lors d'une conférence n'éveille généralement pas de soupçons, mais l'exploitation de Drift devrait suffire pour que les participants revoient les connexions établies lors d'événements récents.
Le piratage a réduit la TVL de Drift de plus de moitié en environ 12 minutes. Source : DefiLlama
La Corée du Nord élargit son arsenal cryptographique au-delà des piratages
La société de criminalistique blockchain TRM Labs a décrit l'incident comme le plus grand piratage DeFi de 2026 (jusqu'à présent) et la deuxième plus grande exploitation de l'histoire de Solana, juste derrière le piratage du pont Wormhole de 326 millions de dollars en 2022.
Le contact initial remonte à environ six mois, mais l'exploitation elle-même remonte à la mi-mars, selon TRM. L'attaquant a commencé par déplacer des fonds de Tornado Cash et déployer le CarbonVote Token (CVT), tout en utilisant l'ingénierie sociale pour persuader les signataires multisig d'approuver des transactions accordant des autorisations élevées.
Ils ont ensuite fabriqué de la crédibilité pour CVT en frappant une grande offre et en gonflant l'activité de trading pour simuler une demande réelle. Les oracles de Drift ont capté le signal et ont traité le jeton comme un actif légitime.
Lorsque les transactions pré-approuvées ont été exécutées le 1er avril, CVT a été accepté comme garantie, les limites de retrait ont été augmentées et les fonds ont été retirés en actifs réels, y compris USDC.
TRM décrit les fonds provenant de Tornado Cash en mars utilisés pour préparer l'exploitation de Drift. Source : TRM Labs
En lien : Un espion nord-coréen commet une erreur, révèle ses liens lors d'un faux entretien d'embauche
Selon TRM, la rapidité et l'agressivité du blanchiment ultérieur ont dépassé celles observées lors du piratage de Bybit.
On pense généralement que la Corée du Nord utilise des vols de cryptomonnaies à grande échelle tels que les attaques Drift et Bybit aux côtés de tactiques à plus long terme, notamment en plaçant des agents dans des postes à distance dans des entreprises technologiques et cryptographiques pour générer des revenus constants. Le Conseil de sécurité des Nations Unies a déclaré que ces fonds sont utilisés pour soutenir le programme d'armement du pays.
Le chercheur en sécurité Taylor Monahan a déclaré que l'infiltration des protocoles DeFi remonte à « l'été DeFi », ajoutant qu'environ 40 protocoles ont eu des contacts avec des agents présumés de la RPDC.
Les médias d'État nord-coréens ont rapporté jeudi que le pays avait testé une arme électromagnétique et un missile balistique à courte portée, connu sous le nom de Hwasong-11, équipé d'ogives à sous-munitions.
Dimensions estimées pour le KN-23, également connu sous le nom de Hwasong-11A. Source : Christian Maire, FRS
Le réseau d'infiltration alimente des revenus cryptographiques constants
Une enquête distincte a révélé comment un réseau de travailleurs informatiques liés à la Corée du Nord a généré des millions grâce à une infiltration prolongée.
Les données obtenues d'une source anonyme partagées par ZachXBT ont montré le réseau se faisant passer pour des développeurs et s'implantant dans des entreprises cryptographiques et technologiques, générant environ 1 million de dollars par mois et plus de 3,5 millions de dollars depuis novembre.
Le groupe a obtenu des emplois en utilisant des identités falsifiées, a acheminé les paiements via un système partagé, puis a converti les fonds en monnaie fiduciaire et les a envoyés sur des comptes bancaires chinois via des plateformes telles que Payoneer.
Le traçage de portefeuille a lié une partie du flux à des adresses liées à une activité connue de la RPDC, a déclaré l'enquêteur blockchain. Source : ZachXBT
En lien : Êtes-vous un freelance ? Les espions nord-coréens pourraient vous utiliser
L'opération reposait sur une infrastructure de base, notamment un site Web partagé avec un mot de passe commun et des classements internes suivant les revenus.
Les agents ont postulé pour des postes en toute transparence en utilisant des VPN et des documents falsifiés, indiquant une stratégie à plus long terme consistant à intégrer des agents pour extraire des revenus constants.
Les défenses évoluent à mesure que les tactiques d'infiltration se propagent
Cointelegraph a rencontré un stratagème similaire dans une enquête de 2025 dirigée par Heiner García, qui a passé des mois en contact avec un agent présumé.
Cointelegraph a ensuite participé à l'entretien fictif de García avec un suspect qui se faisait appeler "Motoki", qui prétendait être japonais. Le suspect a quitté l'appel avec colère après avoir échoué à se présenter dans son dialecte maternel supposé.
L'enquête a révélé que les agents contournaient les restrictions géographiques en utilisant l'accès à distance à des appareils physiquement situés dans des pays tels que les États-Unis. Au lieu de VPN, ils exploitaient ces machines directement, faisant apparaître leur activité comme locale.
À présent, les chasseurs de têtes technologiques ont réalisé que la personne à l'autre bout d'un entretien d'embauche virtuel pourrait bien être un espion cybernétique nord-coréen. Une stratégie de défense virale consiste à demander aux suspects d'insulter Kim Jong Un. Jusqu'à présent, la tactique a été efficace.
Un travailleur informatique nord-coréen présumé se fige lorsqu'on lui demande de traiter Kim Jong Un de "gros cochon laid". Source : Tanuki42
Cependant, comme Drift a été approché en personne et que les conclusions de García ont montré que les agents trouvaient des méthodes créatives pour contourner les restrictions géographiques, les acteurs nord-coréens ont continué à s'adapter à la dynamique du chat et de la souris.
Demander aux personnes interrogées d'appeler le leader suprême de la Corée du Nord un "gros cochon" est une stratégie efficace pour le moment, mais les chercheurs en sécurité avertissent que cela ne fonctionnera pas éternellement.
Magazine : Chèques Bitcoin fantômes, la Chine suit les impôts sur la blockchain : Asia Express
- #Cryptomonnaies
- #Cybercriminalité
- #Corée du Nord
- #DeFi
- #Features
- #Industrie
